零時差漏洞

這一星期的漏洞新聞，以Chrome零時差漏洞利用的修補，還有Delinea、F5的漏洞修補值得留意；在資安威脅態勢方面，駭客濫用API的態勢日益增長情形最要關注，近期Dell資安事件疑外洩近5千萬用戶資訊，就是與濫用Dell網站API有關

這一期資安週報中，以GitLab、WP-Automatic Plugin的漏洞利用狀況最受關注；在資安威脅焦點方面，Dropbox旗下Dropbox Sign數位簽章方案遭駭受矚目，勒索軟體攻擊事件亦帶來嚴重影響，加拿大連鎖藥局暫停營業6天，瑞典物流業者遇駭衝擊當地酒品供應，並還有親俄駭客鎖定水力設施關鍵CI的攻擊手法揭露

思科旗下Cisco Talos警告，駭客從去年底開始，便利用思科ASA軟體零時差漏洞，鎖定政府網路植入後門程式

檔案伺服器軟體CrushFTP開發團隊近日針對用戶提出警告，有人利用零時差漏洞CVE-2024-4040從事攻擊行動，呼籲用戶儘速套用新版程式來進行修補

這一星期有微軟、D-Link、Palo Alto Networks的漏洞利用情況須重視，還有多家IT廠商的每月例行安全更新修補發布；在資安事件焦點方面，國內5家上市櫃發布資安事件重大訊息，包括佰研、富野、聯成、聯華、聯合再生，短短一周就有5篇資安事故公告，格外引人注目

微軟4月例行更新公布2個零時差漏洞，分別是代理驅動程式（Proxy Driver）欺騙漏洞，以及涉及SmartScreen提示安全功能被繞過漏洞

這一星期有多個已知漏洞被利用消息，包括Fortinet、微軟、VMware、Ivanti 與Nice的漏洞；周末更傳出涉及SSHD供應鏈攻擊的事件，原因出在XZ Utils程式庫，要特別重視這方面因應；在資安威脅焦點方面，有研究人員針對採用Tycoon 2FA網釣攻擊工具包、以手機用戶為目標網釣工具包Darcula的攻擊行動提出警告

Google歸納去年零時差漏洞攻擊五大趨勢，包括駭客利用第三方元件和函式庫的零時差漏洞，發動供應鏈攻擊的情況有升溫趨勢